Хакерская группировка EncryptHub (её также называют LARVA-208 и Water Gamayun) запустила новую атаку, нацеленную на разработчиков Web3 — с целью заразить их компьютеры вредоносным софтом для кражи ценнейших данных.
EncryptHub
В последнее время злоумышленники заметно поменяли тактику: теперь они прячут вирусы под видом фейковых AI-сервисов (например, подделывают Norlax AI под популярный Teampilot) и заманивают жертв, предлагая им вакансию или просят оценить портфолио.
Раньше группа занималась в основном вымогательскими вирусами, но сейчас всё чаще используют вредоносы, созданные специально для кражи информации из криптокошельков — чтобы затем заработать на продаже этих данных.
Почему же теперь целью стали именно разработчики Web3? Всё просто: у них обычно есть доступ к криптовалютным кошелькам, смарт-контрактам и тестовым средам. Многие работают на фрилансе сразу в нескольких проектах, не защищены корпоративными системами безопасности — идеальная мишень для хакеров.
Вся схема строится вокруг подделки AI-платформ: программиста приглашают якобы на собеседование, прислав ссылку на сайт такой платформы.
Такие сообщения получают разработчики, подписанные на Web3 и Blockchain в соцсетях X или Telegram. Им обещают обсудить портфолио или провести интервью. Такие же ссылки отправляют и откликнувшимся на вакансии через популярную площадку Remote3.
Особенность атак EncryptHub в том, что злоумышленники обходят даже предупреждения самой Remote3 — сервис советует не скачивать программы для видеоконференций. Поэтому они начинают разговор через Google Meet, а потом внезапно предлагают перейти в Norlax AI якобы для продолжения встречи.
Norlax AI
Дальше сценарий всегда один: после перехода по ссылке пользователю предлагают ввести email и код приглашения, а затем появляется фейловое окно с ошибкой — мол, не хватает или устарели аудиодрайверы.
Если кликнуть по этому «сообщению», скачивается вредоносная программа под видом официального Realtek HD Audio Driver. Через PowerShell она загружает и активирует вирус Fickle Stealer. Все собранные данные тут же отправляются на удалённый сервер, известный как SilentPrism.
Эксперты отмечают: именно через такие поддельные AI-приложения злоумышленники получают доступ к вашим криптокошелькам, учётным данным и даже к рабочим секретам.
Все последние действия EncryptHub говорят о том, что хакеры не только воруют цифровые деньги, но и активно торгуют украденными аккаунтами и паролями на теневых рынках.
В это же время исследователи из Trustwave SpiderLabs обнаружили новую версию вируса-шифровальщика KAWA4096 — он повторяет стиль группировки Akira и использует похожие послания, как Qilin, чтобы внушать больше доверия.
KAWA4096 впервые появился в июне 2025 года, уже атаковал 11 компаний, причем больше всего пострадали организации из США и Японии. Как именно проникает вирус в сеть — пока неизвестно.
Интересно, что этот шифровальщик блокирует файлы не только на компьютерах, но и на сетевых дисках, а его многоуровневая обработка ускоряет заражение и блокировку данных.
Эксперты по кибербезопасности Натаниэль Моралес и Джон Басмайор объясняют: «Обнаруженные файлы добавляются в очередь, потом файлы делятся между разными потоками, каждый шифрует свою часть, а для координации процессов используется семафор. Это позволяет максимально быстро заблокировать все данные».
Ещё один шифровальщик, который недавно отметился — Crux, ассоциирующий себя с группой BlackByte. В июле 2025 года его отметили в трёх атаках, сообщают специалисты Huntress.
В одном из случаев хакеры использовали уже украденные учётные данные для входа по RDP и закреплялись в скомпрометированной сети. При этом во всех атаках запуск вредоносных команд шёл через стандартные сервисы Windows (svchost.exe, bcdedit.exe) — чтобы скрыть вредоносную активность и осложнить восстановление системы.
Совет от экспертов: внимательно следите за подозрительной активностью процессов вроде bcdedit.exe или svchost.exe с помощью современных EDR-систем — это поможет вовремя заметить и остановить атаку.
Если вам понравилась эта статья, подпишитесь, чтобы не пропустить еще много полезных статей!
Премиум подписка - это доступ к эксклюзивным материалам, чтение канала без рекламы, возможность предлагать темы для статей и даже заказывать индивидуальные обзоры/исследования по своим запросам!Подробнее о том, какие преимущества вы получите с премиум подпиской, можно узнать здесь
Также подписывайтесь на нас в:
- Telegram: https://t.me/gergenshin
- Youtube: https://www.youtube.com/@gergenshin
- Яндекс Дзен: https://dzen.ru/gergen
- Официальный сайт: https://www-genshin.ru